使用command-privilege 限制接口授权异常的问题

您好，参考

1.1.3  command-privilege

【命令】

command-privilege level level view view command

undo command-privilege view view command

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

level level：命令的级别，取值范围为0～3。

view view：命令行视图的名称，view的取值中shell表示用户视图。该参数必须是command所在的视图，具体命令所在视图请参见该命令解释的“【视图】”小节的描述。

command：需要设置的命令。

【描述】

command-privilege命令用来设置指定视图下的命令的级别。undo command-privilege命令用来恢复缺省情况。

缺省情况，各个视图下的每条命令都有指定的级别，详细介绍请参见“基础配置指导/CLI”中的“级别简介”小节。

命令级别共分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3。管理员可以根据用户需要改变命令的级别，实现低级别用户可以使用部分高级别命令的功能。用户操作设备时，可以使用等于或者低于用户本身级别的所有命令。例如：某用户的级别是3级，则该用户可以使用3级及3级以下的命令。

需要注意的是：

·     通常情况下，建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改，以免造成操作和维护上的不便甚至给设备带来安全隐患。

·     配置command-privilege命令时，command参数必须是需要设置的命令的完整形式，即必须输入命令的所有关键字以及参数，参数只要在取值范围之内即可，对具体值没有限制。比如tftp server-address { get | put | sget } source-filename [ destination-filename ] [ source { interface interface-type interface-number | ip source-ip-address } ]命令的缺省级别为3，现配置命令command-privilege level 0 view shell tftp 1.1.1.1 put a.cfg，则当级别为0的用户登录设备时，可以执行tftp server-address put source-filename命令（比如tftp 192.168.1.26 put syslog.txt），但不能携带destination-filename和source参数，也不能执行get和sget操作。

·     配置undo command-privilege命令时，command参数可以使用省略形式，即只输入命令最前面的部分参数。比如执行undo command-privilege view system ftp，会将系统视图下所有以ftp关键字开头的命令（如ftp server acl、ftp server enable、ftp timeout等）的级别恢复到缺省级别。如果当前已经修改了ftp server enable和ftp timeout命令的级别，但只想将ftp server enable命令的级别恢复到缺省级别，则需要使用命令undo command-privilege view system ftp server。

·     如果将某视图下的某条命令的级别修改为低于缺省级别的级别，请注意相应的修改quit以及进入该视图命令的级别。比如interface和system-view命令的缺省级别均为2（系统级），如果要将interface命令开放给级别为1的用户使用，则需要配置command-privilege level 1 view shell system-view、command-privilege level 1 view system interface Ethernet 1/0/1 、command-privilege level 1 view system quit，以便级别为1的用户登录设备后，能够进入系统视图、执行interface Ethernet命令、退回用户视图。

【举例】

# 将用户视图下的命令system-view的级别修改为3级。（缺省情况级别是2或3的用户登录设备后可以使用system-view命令，通过以下配置只有级别是3的用户才可以使用该命令进入系统视图，对设备进行配置，从而增强了设备的安全性）

<Sysname> system-view

[Sysname] command-privilege level 3 view shell system-view